Alarmante ola de robos de datos en España, la crisis de seguridad que afecta a grandes empresas y la DGT
Todo comenzaba hace dos semanas, cuando el Banco Santander comunicaba una brecha de seguridad en sus sistemas que filtraba datos de sus clientes. Según sus palabras, no se trataría de datos sensibles, por lo que, en principio, la situación no parecía grave. Pero nada más lejos de la realidad: era sólo el comienzo.
Desde hace tiempo se viene advirtiendo sobre la negligencia en la protección de datos, a menudo con pocas o nulas consecuencias. Sin embargo, cuando las instituciones que nos obligan a proporcionarles nuestros datos no los protegen adecuadamente, como es el caso de la DGT, la situación se vuelve extremadamente alarmante.
Luego, fue el turno de Telefónica, que sufrió otra filtración de datos. Aunque la entidad no ha confirmado oficialmente el incidente, la evidencia de la brecha se encuentra en la Dark Web, en foros especializados en la venta de información robada. Poco después, Iberdrola también se convirtió en víctima de los ciberataques, sumándose a la creciente lista de grandes empresas españolas comprometidas. Sin embargo, lo más alarmante fue el caso de la Dirección General de Tráfico (DGT), donde se filtraron 34 millones de datos de conductores españoles. Esta filtración incluye información extremadamente sensible como DNI, domicilios, matrículas y seguros, pintando un escenario catastrófico y destacando la magnitud del problema. Esta brecha en la DGT no solo afecta la privacidad de millones de ciudadanos, sino que también pone en riesgo su seguridad personal.
Aún es pronto para determinar el origen de todos estos ataques y es difícil predecir quién será la próxima víctima, la habrá eso seguro. Con el paso de los días, veremos si estos incidentes son casos «aislados» o forman parte de una campaña dirigida a las empresas del país por algún tipo de interés externo. Cabe recordar que no es la primera vez que varias de estas entidades sufren una filtración de datos.
El contexto
Antes de empezar a ver caso por caso vamos a definir una serie de conceptos que son necesarios comprender para tener una imagen clara de la gravedad del problema.
¿Qué es una base de datos y para qué se utiliza?
Una base de datos es como un archivo digital muy grande donde se guarda mucha información organizada. Imagina una hoja de cálculo gigante con filas y columnas, donde cada fila es un conjunto de datos sobre algo específico, como un cliente, una venta o un producto. Las empresas utilizan bases de datos para almacenar y gestionar información importante que necesitan para funcionar, como detalles de sus clientes, inventarios, transacciones y más. Gracias a las bases de datos, pueden acceder rápidamente a la información que necesitan para tomar decisiones y ofrecer servicios.
Ataques de Phishing
Un ataque de phishing es una trampa que los ciberdelincuentes usan para robar información personal o financiera. Viene del Inglés «Fishing» que significa «Pescar» y fundamentalmente trata de lanzar cebos de forma masiva para intentar «pescar» la información personal o financiera de las víctimas. Generalmente, envían un correo electrónico o mensaje que parece provenir de una fuente confiable, como un banco, una tienda, una persona cercana o una red social. Suele incluir un enlace a un sitio web falso que imita al real y pide a la víctima que ingrese información confidencial, como contraseñas o números de tarjeta de crédito. Si la víctima cae en la trampa y proporciona estos datos, los delincuentes pueden usar esa información para cometer fraudes, robos o suplantaciones de identidad a posteriori.
Suplantación de Identidad
La suplantación de identidad ocurre cuando alguien usa la información personal de otra persona para hacerse pasar por ella. Esto puede incluir el uso de nombres, direcciones, números de identificación, y otros datos personales para realizar actividades fraudulentas. Por ejemplo, un delincuente podría usar los datos robados de una persona para solicitar tarjetas de crédito, pedir préstamos, o incluso cometer delitos en su nombre. La víctima puede enfrentarse a serios problemas financieros y legales como resultado de esta suplantación, sobre todo cuando se trata en países diferentes a los del suplantado.
Incidentes Recientes
Banco Santander, se desconoce el número de afectados
Con el Banco Santander empezaba todo, no es la primera gran empresa española que sufre una brecha de seguridad como esta, han sido muchas antes, también de banca y serán más si seguimos sin tomar las medidas que este tipo de amenazas requieren, pero sí fue la primera de esta oleada. Según la entidad, la base de datos filtrada no contiene ninguna información transaccional ni credenciales que permitiesen realizar operaciones en cuentas, ni siquiera detalles de banca en línea. Ticketmaster, el gigante de venta de entradas para conciertos y eventos también sufrió un ciberataque en el que tambień se sustrajeron gran cantidad de datos de clientes. Se cree que ambos ataques tienen como origen de la brecha, Snowflake, un servicio de almacenamiento en la nube utilizado por ambos.
El caso de Telefónica afectaría a 120 mil clientes y empleados
Telefónica, la gran operadora de telecomunicaciones, otra vez sufre una filtración de datos. La base de datos a la venta en la Dark Web contendría información personal como nombre y apellidos, direcciones de correo electrónico y números de teléfono de usuarios tanto de Movistar como de O2. ¿Te preguntas quién tiene tu número y cómo lo ha conseguido cuando recibes esos mensajes de tu hijo diciendo que ha cambiado de móvil y necesita urgentemente dinero? Con esto puedes hacerte una idea, si no sigue leyendo.
El interés de los cibercriminales por este tipo de empresas es elevado, ya que gestionan una vasta cantidad de información sensible y crucial para una nación, e incluso, en algunos casos, para varias. Los datos que manejan deberían protegerse con extremo cuidado, ya que estas entidades son críticas y sus normas de seguridad y gestión de la información deberían cumplirse rigurosamente. Sin embargo, por diversos factores, estas medidas a menudo se descuidan hasta que ocurre un gran evento como los que estamos presenciando.
850 mil datos de clientes en España robados a Iberdrola
Otra empresa crítica, una de las encargadas de gestionar la infraestructura energética de todo un país, también con información personal y sensible de millones de personas, tan sensible como que conocen tu consumo eléctrico al detalle, picos de horas de actividad, fechas clave, etc; lo suficiente para hacer un perfil preliminar de una persona o de una familia y sus hábitos. De nuevo, según las palabras de la empresa, ningún dato financiero ha sido comprometido, pero sí información personal de sus clientes, nombres, DNI, etc. Primero nos dijeron que habían sido 200 mil datos filtrados, la realidad resultó ser casi 4 veces más. Uno de los grandes problemas que tenemos con las empresas que gestionan nuestros datos es que nos van a informar de la manera más interesada para ellos cuando una brecha se produzca, lo que hace que el problema se agrave. Si no sabes que tus datos han sido robados, ni cuáles, no podrás tomar medidas eficientes para protegerte.
Y el premio gordo, la Dirección General de Tráfico, 34 millones de datos
Sí, es tan grave como suena y tampoco es la primera vez. Esta base de datos en venta en la Dark web contiene información crítica de los conductores españoles, matrículas, domicilios, nombres, hasta datos de pólizas de seguro; casi nada. Los ciberdelincuentes han creado hasta un buscador para poder consultar información sin tener que comprar la base de datos al completo. El precio exacto no se conoce ya que normalmente en este tipo de transacciones son negociadas entre comprador y cibercriminales, pero se estima que puede alcanzar varios millones de euros. Ya no sólo por la cantidad de información que contiene sino por el grado de sensibilidad de los mismos.
La situación en este caso es extremadamente grave, ya que se trata de una entidad gubernamental que gestiona los datos reales de multitud de personas que no tienen otra alternativa que proporcionárselos, creándose así una situación de desprotección ante las malas prácticas de gestión y tratado de datos que un tipo de información de este calibre debería requerir, sin embargo, en múltiples ocasiones, se descuidan.
Cuando una empresa privada no protege concienzuda y eficientemente la información de sus clientes, las entidades de protección de datos suelen imponer sanciones. Air Europa recibió una sanción por incumplimiento de la Ley Orgánica de Protección de Datos por la AEPD (Agencia Española de Protección de Datos) hace unos años por una brecha de seguridad en la que se filtró la información de los datos bancarios de sus clientes. ¿Procederá con una sanción la AEPD contra la DGT en este caso? Sería curioso.
Pero, ¿Y cuál es el problema?
Si aun a estas alturas no eres consciente del problema, tranquilo, yo te lo explico. Cuándo escuchas que los cibercriminales han conseguido acceder a la información de los clientes de determinada empresa o entidad, normalmente piensas que esos datos no sirven para nada, «Mientras el dinero siga en su sitio, no me importa…». Pero eso es un grave error, primero porque estamos ignorando la gravedad del problema, segundo porque nos lleva a descuidarlo, al no ser conscientes de ello. Y es que lo que sucede en realidad es que esos datos sirven para ser comparados con otras bases de datos, también robadas, y hacer un perfil de la posible víctima juntando toda aquella información más relevante de la que el cibercriminal pueda disponer.
De esta forma, los atacantes pueden utilizar toda esa información para otro tipo de ataques más sofisticados. No es lo mismo que te llegue un mensaje «Hola Andrés, tu paquete no ha podido ser entregado, pulsa sobre el enlace para programar un nuevo intento de entrega» si te llamas Julia, que si te llega el mensaje «Hola Julia, con domicilio C/Phishing 24, 1A y DNI 00000000Z, tu paquete no ha podido ser entregado, pulsa sobre el enlace para programar un nuevo intento de entrega«. Mientras que el primero te hará preguntarte por qué se refiere a ti como Andrés si te llamas Julia, probablemente lo ignorarás, el segundo mensaje puede generar una reacción muy diferente y llevarte a considerarlo legítimo ya que los datos proporcionados coinciden con los reales.
Pero no sólo el phishing es el problema. Los datos robados pueden ser utilizados para llevar a cabo una variedad de estafas y suplantaciones de identidad tanto a nivel empresarial como personal. Por ejemplo, con información detallada de los empleados, los atacantes pueden lanzar ataques de spear phishing. Estos son correos electrónicos altamente personalizados que parecen provenir de una fuente confiable dentro de la empresa, como el CEO o el departamento de Tecnologías de la Información. Un ejemplo de esto podría ser:
«Hola María, soy Javier, tu jefe de departamento. Necesito que transfieras urgentemente 5,000 euros a esta cuenta para completar una transacción importante. Aquí están los detalles bancarios.»
Un empleado desprevenido podría no cuestionar esta solicitud aparentemente legítima y proceder con la transferencia, causando una pérdida financiera significativa a la empresa. Todo gracias al engaño utilizando datos personales reales.
A nivel personal, los atacantes pueden utilizar la información para realizar fraudes de identidad. Por ejemplo, con datos como nombre, dirección y número de DNI, pueden solicitar tarjetas de crédito a nombre de la víctima, comprar bienes costosos y dejar a la víctima con deudas enormes. Recuerda que si alguien obtiene los datos de tu tarjeta de cualquier base de datos, aunque no puedan operar con ella, puede saber cuando caduca y así ajustar los tiempos de la estafa.
Además, los datos robados pueden ser utilizados en ataques de extorsión. Por ejemplo, si los atacantes tienen acceso a información sensible o comprometedora, pueden amenazar con divulgarla a menos que se pague un rescate. Un mensaje de este tipo podría ser:
«Tenemos acceso a tus correos electrónicos y documentos privados. Si no transfieres 2,000 euros en Bitcoin en las próximas 48 horas, publicaremos toda tu información personal en internet.»
El robo de datos puede escalar desde simples intentos de phishing a ataques mucho más serios y perjudiciales. La información robada es una herramienta poderosa en manos de ciberdelincuentes. Pero tranquilo, no todo está perdido…
¿Qué hago para protegerme?
Protegerte ante este tipo de ataques es más una carrera de fondo en la que cada paso cuenta, que una acción puntual. Es imprescindible ser conscientes de la importancia de nuestros datos y actuar en consecuencia en cada paso que damos al caminar por las redes sociales e internet. Lo principal y primordial es, ser extremadamente cautelosos con la información que proporcionamos al darnos de alta en cualquier servicio, página o aplicación en internet. Todos y cada uno de los datos que ingresamos en los formularios de registro deben ser cuidadosamente evaluados de forma individual e independiente. Tenemos que estimar la gravedad de una filtración y lo que ese dato puede suponer.
Una página cualquiera de internet no tiene porqué saber tu nombre real, ni tu fecha, tampoco tu dirección. Lo más que puede pasar si te lo inventas es que te olvides de la información que proporcionaste. Poner información inexacta es una forma de protección que personalmente te recomiendo. Puede parecer una tontería o una exageración pero si lo piensas en frío tiene sentido, lo que consigues introduciendo datos ficticios es que, si como en los casos anteriormente expuestos, tienes la mala suerte de que se roban varias bases de datos de servicios en los que estás dado de alta, al ir a cotejarlas y juntar la información de la que disponen sobre ti, se encontrarán con fechas de nacimiento que no coinciden, apellidos y domicilios diferentes; por lo que tendrán mucho más complicado distinguir la información real y será más probable que se equivoquen al intentar realizar un ataque dirigido contra ti o tus activos.
Lamentablemente, incluso con todas estas precauciones, a veces el problema reside en las propias instituciones que manejan nuestros datos. Es alarmante cuando el gobierno o entidades asociadas no sólo nos obligan a proporcionar información extremadamente sensible, sino que además fallan en protegerla adecuadamente y no nos informan de manera oportuna cuando ocurren brechas de seguridad. Este tipo de negligencia agrava la vulnerabilidad de los ciudadanos y subraya la necesidad de exigir transparencia y responsabilidad a las instituciones que custodian nuestros datos personales. Proteger nuestra información es una responsabilidad compartida y todos, desde individuos y empresas hasta gobiernos, debemos hacer nuestra parte para asegurar un entorno digital más seguro. Los problemas de no hacerlo ya los estamos viendo y son cada vez más frecuentes, ¡Y graves!
Si tienes algún servicio contratado con alguna de estas empresas o entidades sólo puedo recomendarte una cosa: precaución, ya sabes que a partir de ahora los intentos de estafa que recibas probablemente serán más sofisticados e incluirán información sobre ti más precisa, es tu deber estar alerta e informarte antes de ejecutar ninguna acción y si no sabes pregunta. El Instituto Nacional de Ciberseguridad tiene un teléfono gratuito, disponible de 8 de la mañana a 11 de la noche los 365 días del año en el número 017 al que podrás llamar para realizar cualquier tipo de consulta o duda relacionada con la ciberseguridad, estarán encantados de ayudarte, incluso si la duda es simplemente si un mensaje es fiable o no.
Para terminar, me gustaría compartir una reflexión importante, ya lo dije antes y lo sigo manteniendo, si no exigimos a nuestros dirigentes la debida diligencia en la gestión de nuestros datos, infraestructuras y bienes, este tipo de ataques seguirá en aumento y cada vez serán más dañinos. Es esencial que empecemos a demandar seriedad y responsabilidad a quienes manejan nuestra información más sensible. La protección de nuestros datos no es solo una cuestión de privacidad, sino de seguridad personal y nacional.
En el futuro, estos ataques podrían dirigirse a infraestructuras aún más críticas del país, no solo buscando financiación, sino también desestabilizando servicios esenciales. Cuanta más información posean los atacantes sobre nosotros, más fácil les será alcanzar sus objetivos, generalmente malintencionados. Es nuestra responsabilidad colectiva exigir transparencia y rigor en la protección de nuestros datos para salvaguardar nuestra seguridad y bienestar.
Espero haberte aportado la información que pueda ayudarte a protegerte en el futuro y, de esta forma, entre todos evitar que los cibercriminales se salgan con la suya. Mantente siempre alerta, protege tus datos personales y no dudes en compartir estos consejos con tus amigos y familiares. Juntos podemos crear un entorno digital más seguro. Si puedo ayudarte en algo no dudes en dejar un mensaje y/ó contactar conmigo.
Desarrollador de software, informático, emprendedor y entusiasta por la tecnología desde tiempos inmemoriales. Inquieto por defecto, curioso por naturaleza, trato de entender el mundo y mejorarlo utilizando la tecnología como herramienta.